当地时间12月5日,美国BIS发布最终规则,旨在加强信息与通信技术和服务(ICTS)供应链的监管,明确在调查外国对手对信息与通信技术和服务交易的威胁时将遵循的程序,防范外国对手通过ICTS产品或服务威胁美国国家安全、经济利益和关键基础设施。
作者丨张国勋 潘静怡 张雨檬
当地时间12月5日,美国商务部发布关于《保障信息与通信技术和服务的供应链安全》的最终规则(Securing the Information and Communications Technology and Services Supply Chain,“最终规则”)。该规则旨在加强美国对信息与通信技术和服务(Information and Communications Technology and Services,ICTS)供应链的监管,明确调查所谓外国对手(Foreign Adversary)对美国信息与通信技术和服务交易造成威胁时须遵循的审查程序,防范所谓外国对手通过ICTS产品或服务威胁美国国家安全、经济利益和关键基础设施。本次最终规则是为具体落实美国《国际紧急经济权力法》(IEEPA)和《国家紧急法》(NEA)下授权签发的第13873号行政令而发布,在原有出口管制的复杂制度体系外,新增进口管制、供应链管理交叉领域的行政法律程序和措施。
一、规则制定背景、目的及历史沿革
此次最终规则的历史沿革可以追溯到2019年,时任美国总统特朗普称,美国的外国对手正在越来越多地制造和利用信息与通信技术和服务中的漏洞,实施包括针对美国及美国人的经济和工业间谍活动在内的恶意网络行动。外国对手在美国境内不受限制地获取或使用由外国对手拥有、控制、管辖或指示的人员设计、开发、制造或提供的ICTS,增强了外国对手创造和利用ICTS漏洞的能力,可能造成灾难性影响,从而对美国的国家安全、外交政策和经济构成异常和特殊的威胁。[1]
为应对上述所述风险,2019年5月,时任美国总统特朗普依据IEEPA和NEA法律授权签发第13873号行政令:《保障信息与通信技术和服务供应链的安全》[2],禁止可能对美国国家安全、技术或关键基础设施构成特定威胁的涉及外国对手的ICTS交易。2019年11月,美国商务部发布了拟议规则并征求公众意见,旨在落实第13873号行政令中列明的相关要求。
随后,在第13873号行政令签发的背景下,2020年8月6日,时任美国总统特朗普签署发布两项行政令[3],分别针对中国两款社交媒体软件的涉美业务,要求下架不得销售,作为应对ICTS供应链中存在的国家紧急状态的额外措施。
2021年1月,美国商务部发布临时最终规则(Interim Final Rule)[4],对2019年拟议规则的公众评议做出回应,并进一步征求公众意见,旨在建立并完善用于识别、评估和处理美国人与外国人之间涉及外国对手拥有、控制、管辖或指示的人员设计、开发、制造或提供ICTS的特定交易的流程和程序。此次最终规则针对2021年临时最终规则的公众意见做出了回应,并形成最终规则。
在执行层面,基于上述行政令,2022年3月,美国商务部专门成立信息与通信技术和服务办公室(Office of Information and Communications Technology and Services,OICTS),专门执行第13873号行政令和其他相关行政令,且至今已完成多项调查执法行动。例如,2024年6月,OICTS首次做出最终决定,禁止俄罗斯卡巴斯基实验室(Kaspersky Lab)在美国销售或更新其软件[5]。2024年9月,OICTS根据对网联汽车发起的行业调查,发布了一项拟议规则,意图禁止销售或进口与中国或俄罗斯有关联的、集成了特定硬件和软件的网联汽车或单独销售特定组件的行为。[6]
二、最终规则的修订内容
此次最终规则针对实体性规则和程序性规则均做出了一定程度的修改、调整和澄清,但并未改变临时最终规则的整体框架和实质性内容。具体修订内容如下:
(一)实体性规则的修订
1、核心定义的修改及增加
(1)“ICTS交易”(ICTS Transaction)
此次最终规则并未对临时最终规则中ICTS交易的定义做出实质性修改,即“ICTS交易”是指针对任何ICTS的获取、进口、转移、安装、交易或使用活动,包括进行中的活动,例如管理服务、数据传输、软件更新、修理或为用户下载应用的平台设置或数据托管。
但对上述定义中的“交易”(dealing in)和“进口”分别增加了解释。其中,“交易”是指购买、销售、再销售、接收(receiving)、许可或获取(acquiring)ICTS的活动,或以其他方式从事或涉及传送(conveyance)ICTS的相关业务。“进口”是指无论采用何种传送(conveyance)方式将外国ICTS带到或带入美国的过程或活动,包括通过电子传输的方式。
(2) “交易的一方或多方”(party or parties to a transaction)
此次最终规则修改了临时最终规则中的定义,修改后的“交易的一方或多方”指,参与ICTS交易或ICTS交易类别的一人或多人,包括但不限于:设计方、开发商、提供商、买方、采购方、卖方、转让方、许可方、经纪人、收购方、中介(包括收货人)和最终用户。但此次最终规则保留了临时最终规则中关于公共承运人的例外。
(3) “外国对手拥有、控制、管辖或指示的人员”(person owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary)
此次最终规则主要修改了临时最终规则定义中的第②、③、④项。其中,第②项中增加了“且不属于美国公民或永久居民”的条件,即美国公民或美国永久居民本身不会构成“外国对手拥有、控制、管辖或指示的人员”。第③项中,除依据外国对手或受外国对手控制的国家/地区的法律注册成立以外,还增加了任何主要营业地点位于外国对手或由外国对手控制的国家/地区、总部设在外国对手或受外国对手控制的国家/地区的公司、合伙企业、协会或其他组织。第④项中,在原规定基础上增加了如下内容:包括前述①-③项中确定的任何人,通过拥有实体已发行投票权的多数或占主导地位的少数人而直接或间接拥有权力的情况,董事会代表、代理投票、特别股份、合同安排、一致行动的正式或非正式安排,或其他方式,以确定、指导或决定影响某实体的重要事项。
修改后,“外国对手”是指:
①根据外国对手或其活动受到直接或间接监督的人的命令、要求、指示或控制担任代理人、代表或雇员的任何人,或以任何其他身份行事的任何人,无论身在何处,全部或部分由外国对手指导、控制、资助或补贴;
②任何属于外国对手或外国对方控制的国家的公民或居民,且不是美国公民或美国永久居民的人,无论其位于何处;
③任何主要营业地点位于外国对手或由外国对手控制的国家/地区、总部设在外国对手或受外国对手控制的国家/地区的法律中注册成立或以其他方式组织的公司、合伙企业、协会或其他组织;
④任何依据外国对手或受外国对手控制的国家/地区的法律中注册成立的公司、合伙企业、协会或其他组织,包括上述①-③项中确定的任何人,通过拥有实体已发行投票权的多数或占主导地位的少数人而直接或间接拥有权力的情况,董事会代表、代理投票、特别股份、合同安排、一致行动的正式或非正式安排,或其他方式,以确定、指导或决定影响某实体的重要事项。
(4) “美国人”(United States person)
为与第13873号行政令保持一致,此次最终规则在原有定义的基础上增加了在美国境内的任何人。
修改定义后的“美国人”是指:任何美国公民;任何永久居住外国人;根据美国法律或美国境内任何司法管辖区的法律组建的任何实体(包括此类实体的外国分支机构),或在美国境内的任何人。
2、受审查的交易范围的澄清和调整
此次最终规则通过对以下内容的修订,进一步澄清或扩宽了受审查的交易范围。
(1)删除“一百万”单位或人数的限制:最终规则删除了信息与通信技术和服务ICTS交易(ICTS Transactions)中涉及敏感个人数据的使用、处理或保留必须包括100万以上美国人的数据才能接受审查的限定条件。此外,最终规则删除了对互联网传感器、网络摄像头或其他终端监视或监控设备;路由器、调制解调器或任何其他家庭网络设备;无人机或其他无人驾驶航空系统的100万件最低销售数量的限制。最终规则还删除了对主要通过互联网链接和通信而设计的软件必须有超过100万人使用才构成ICTS的限定条件。
(2)网联软件应用程序的范围:针对网联软件应用的范围,最终规则做出澄清,桌面应用程序、移动应用程序、游戏应用程序和基于网络的应用程序仅为网联软件应用程序的示例,而非穷尽列举。
(3)关键基础设施的范围:最终规则单独明确列出如下类别,包括化工、商业设施、通信、关键制造业、水坝、国防工业基地、应急服务、能源、金融服务、食品和农业、政府服务和设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废物、交通系统以及水和废水系统等领域的任何子部门。
(4)关键技术和新兴技术的范围:最终规则单独明确列出11类,包括先进网络感知和特征管理;先进计算;人工智能;清洁能源生产和存储;数据隐私、数据安全和网络安全技术;高度自动化、自主和无人系统及机器人技术;集成通信和网络技术;定位、导航和时间技术;量子信息及使能技术;半导体和微电子;以及生物技术。
(5)规则适用的溯及力:最终规则做出澄清,其不追溯适用于2021年1月19日之前完成的交易。但OICTS有权审查2021年1月19日或之后启动、待定或完成的ICTS订单交易,即使这些订单交易是基于2021年1月19日之前订立的合同或协议开展的。
(6)外国对手的增加:最终规则做出澄清,将中国澳门特别行政区纳入外国对手的国别和地区清单。
(二)程序性规则的修订
1、启动审查的信息来源
最终规则对其他美国政府机构向商务部提供的信息或建议(referral),以及行业自愿提供的信息进行了区分,以作为启动审查的依据。换言之,美国商务部可以基于其他美国政府机构向其提供的信息或建议启动ICTS审查。
2、信息的保密
最终规则新增规定,在法律允许的情况下,若向公众或相关利益方公开披露能够有必要防止或极大程度上降低对美国国家安全的急迫损害,或对美国人安全的急迫损害,则美国商务部可以公开披露相关保密信息。
3、ICTS交易审查
最终规则新增规定,商务部将在审查时评估:(1)交易是否属于受管辖的ICTS交易;(2)是否涉及外国对手拥有、控制、管辖或指示的人员设计、开发、制造或供应的ICTS;以及(3)是否构成不当或不可接受的风险。
在评估前述第(3)项时,最终规则新增如下考量因素:受管辖的ICTS交易涉及交易方的客户基础、业务关系和运营地点的性质和特点。另外,针对涉及网联软件应用程序的受管辖的ICTS交易,最终规则专门新增如下考量因素:软件用户的数量和敏感程度、软件收集信息的范围和敏感程度,等等。
4、第一次政府部门间的通知
最终规则增加规定,若经评估认为ICTS交易符合上述标准,则商务部形成评估结果记录在案,并提供至有关部门负责人,各部门负责人有机会在21天内提交有关评估的书面意见。如果各部门负责人未在规定时间内提交书面意见,则可推定该部门没有意见。美国商务部有权根据有关部门的意见修改评估结果,但无论有关部门是否提供意见,美国商务部仍有权做出初步决定。
另外,最终规则进一步澄清,政府部门间的协商可以有多种形式,可以是正式的,也可以是非正式的,可以形成部门间的协议备忘录或书面决定,也可以是部门间非正式的讨论。
5、初步决定
最终规则增加规定,初步决定中应包括做出决定的事实依据,以及至少21天供有关部门提供书面意见的期限。另外,针对初步决定的通知方式,最终规则明确增加规定,美国商务部部长可自行决定是否在《联邦公报》上公布任何初步决定的通知。
6、文件保存的要求
最终规则增加规定,自被要求提供信息或收到初步决定的通知后,被通知的个人和实体应立即采取措施保留与已确定的ICTS交易相关的记录,且在最终决定发布后须保留相关记录至少10年。
7、书面回应和缓解(mitigation)程序
临时最终规则允许当事人在30天内对初步决定做出书面回应。此次最终规则增加规定,允许各方基于合理理由获得最多30天的延长期限。因此,当事方最多将有60天的时间对初步决定做出回应。美国商务部部长保留准予延期的自由裁量权,并可综合考虑各种因素进行判断,如所审查的ICTS交易的复杂性、初步决定中确定风险的严重性,以及准予延期可能对整个审查时限产生的影响。
此外,最终规则明确,除非一方当事人经过美国商务部部长的事先批准,否则其回应初步决定的书面材料不得超过50页。各方可在提交的书面材料中包含商业机密信息,但提交材料中包含的任何商业机密信息都必须清楚、明确地标识出来。
8、最终决定的政府部门间意见征询
最终规则规定,美国商务部部长在最终决定发布前,将与有关部门负责人协商并征询各部门同意,但若各部门在收到书面最终决定提议的14天内未做出回应,则美国商务部将推定认为已获得各部门的同意。商务部可以根据有关部门的意见修改最终决定。
9、最终决定
最终规则规定,只要美国商务部发布了初步决定,无论初步决定是建议禁止ICTS交易还是允许ICTS交易并采取缓解措施,均必须发布最终决定。另外,最终规则还增加规定,在最终决定中还应包括,若当事方违反了缓解协议、相关义务或法律,美国商务部会如何将缓解协议升级为禁止性决定。
(三)禁止行为和惩罚措施
1、禁止行为
最终规则明确列明以下可能导致处罚的禁止行为:
(1)除非获得美国商务部部长的授权,否则任何人不得参与最终决定所禁止的ICTS交易。
(2)除非得到美国商务部部长的授权,否则任何人不得协助、教唆、参谋、指挥、诱导、提供便利、促成或以其他方式明知从事禁止行为,或违反发布的最终决定的行为。
(3)任何人不得以违反根据最终规则发布的任何指示、规定或条件的方式参与ICTS交易。
(4)任何人不得帮助、教唆、参谋、指挥、诱导、提供便利、促成或以其他方式从事明知违反规定的缓解协议条款的行为。
(5)禁止任何以规避或避免、导致违反或试图违反任何禁令为目的的ICTS交易。
(6)禁止为违反规定的任何禁令而进行的任何共谋。
(7)禁止美国人批准、资助、协助或担保外国人的ICTS交易,无论该外国人位于何地,如果该外国人的ICTS交易由美国人进行或在美国境内进行将被禁止,则禁止美国人批准、资助、协助或担保该外国人的ICTS交易。
(8)任何人不得直接或通过任何其他人间接做出任何虚假或误导性陈述、声明或证明,或伪造或隐瞒任何重要事实。
2 、处罚措施
(1)民事处罚
任何违反、企图违反、共谋违反或导致任何明知故犯违反上述禁止行为的人,受到的最高民事处罚为不超过每次违规25万美元的民事罚款(根据通货膨胀情况进行调整),或为违规行为所依据的交易金额的两倍。
(2)刑事处罚
故意实施、故意企图实施、故意共谋实施或协助和教唆违反上述禁止行为的人,应被处以不超过100万美元的罚款;自然人还可能被监禁不超过20年,或两者并罚。
三、修订影响及合规建议
相比2021年发布的临时最终规则,本次最终规则虽然未做很多实质性或结构性修改,但通过澄清定义和删除限定条件的方式,实际对ICTS交易的范围进行了一定程度的扩展,且赋予了美商务部较大的自由裁量权和决定权。很多主要营业地点、总部在国内的企业,其海外子公司涉及的ICTS交易也可能会面临一定的审查风险。相关企业的合规成本、要求将会大幅提升。其次,受最终规则的影响,中美企业间数据传输、电信服务和软件开发等受管辖的交易可能面临更大挑战,严格的审查将限制合作研发的机会与深度,相关企业在美投资和开拓市场的决定可能需要重新评估。此外,结合近期美国联邦法院针对某社交媒体软件的判决,软件程序企业未来通过司法程序挑战美国针对ICTS相关法律或行政令方面可能会面临较大的障碍。
因此,我们建议相关企业:
1、根据最终规则的规定标准,事先开展针对ICTS交易和供应链的评估,包括(1)交易是否属于受管辖的ICTS交易;(2)是否涉及外国对手拥有、控制或受其管辖或指示的人员设计、开发、制造或供应的ICTS;以及(3)是否可能构成不当或不可接受的风险。
2、开展更细致的合规管理工作。加强供应链管理、数据合规,建立相适应的贸易合规体系和供应链管理体系,以符合ICTS的最新要求。
3、重新审视与美国企业的合作及赴美投资的决定,避免因ICTS的审查而“竹篮打水一场空”。
4、中美企业合作和中企在美投资将受到较大影响,这要求企业加强研发投入,尤其是在关键技术和重点关注领域(如新能源、网联汽车、生物技术、航空航天),避免依赖出口美国市场等措施,将企业的生命线牢牢把握在自己手里。
5、中国企业在美提供信息和通信服务时,应注意密切跟踪相关法案的进展,并注意信息的收集和言论边界的把握,避免因违规收集信息或“过度干涉或引导”言论而遭到有关政府部门的调查或关注。
[注]
[1] Executive Order on Securing the Information and Communications Technology and Services Supply Chain – The White House
[2]Federal Register:Securing the Information and Communications Technology and Services Supply Chain
[3]https://trumpwhitehouse.archives.gov/presidential-actions/executive-order-addressing-threat-posed-tiktok/;https://trumpwhitehouse.archives.gov/presidential-actions/executive-order-addressing-threat-posed-wechat/
[4] Federal Register: Securing the Information and Communications Technology and Services Supply Chain
[5] Commerce Department Prohibits Russian Kaspersky Software for U.S. Customers | Bureau of Industry and Security,https://www.bis.gov/press-release/commerce-department-prohibits-russian-kaspersky-software-us-customers
[6] Federal Register: Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles
作者简介
张国勋
北京办公室 高级顾问
业务领域:贸易合规和救济,反垄断和竞争法,海关和进出口
行业领域:电信和互联网,信息和智能技术
潘静怡
北京办公室 合规与政府监管部
张雨檬
北京办公室 合规与政府监管部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。